<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
	<meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">
	<title>监控设置 | ElasticSearch 7.7 权威指南中文版</title>
	<meta name="keywords" content="ElasticSearch 权威指南中文版, elasticsearch 7, es7, 实时数据分析，实时数据检索" />
    <meta name="description" content="ElasticSearch 权威指南中文版, elasticsearch 7, es7, 实时数据分析，实时数据检索" />
    <!-- Give IE8 a fighting chance -->
    <!--[if lt IE 9]>
    <script src="https://oss.maxcdn.com/html5shiv/3.7.2/html5shiv.min.js"></script>
    <script src="https://oss.maxcdn.com/respond/1.4.2/respond.min.js"></script>
    <![endif]-->
	<link rel="stylesheet" type="text/css" href="../static/styles.css" />
	<script>
	var _link = 'monitoring-settings.html';
    </script>
</head>
<body>
<div class="main-container">
    <section id="content">
        <div class="content-wrapper">
            <section id="guide" lang="zh_cn">
                <div class="container">
                    <div class="row">
                        <div class="col-xs-12 col-sm-8 col-md-8 guide-section">
                            <div style="color:gray; word-break: break-all; font-size:12px;">原英文版地址: <a href="https://www.elastic.co/guide/en/elasticsearch/reference/7.7/monitoring-settings.html" rel="nofollow" target="_blank">https://www.elastic.co/guide/en/elasticsearch/reference/7.7/monitoring-settings.html</a>, 原文档版权归 www.elastic.co 所有<br/>本地英文版地址: <a href="../en/monitoring-settings.html" rel="nofollow" target="_blank">../en/monitoring-settings.html</a></div>
                        <!-- start body -->
                  <div class="page_header">
<strong>重要</strong>: 此版本不会发布额外的bug修复或文档更新。最新信息请参考 <a href="https://www.elastic.co/guide/en/elasticsearch/reference/current/index.html" rel="nofollow">当前版本文档</a>。
</div>
<div id="content">
<div class="breadcrumbs">
<span class="breadcrumb-link"><a href="index.html">Elasticsearch 权威指南 [7.7]</a></span>
»
<span class="breadcrumb-link"><a href="setup.html">安装和设置</a></span>
»
<span class="breadcrumb-link"><a href="settings.html">配置 Elasticsearch</a></span>
»
<span class="breadcrumb-node">监控设置</span>
</div>
<div class="navheader">
<span class="prev">
<a href="ml-settings.html">« 机器学习设置</a>
</span>
<span class="next">
<a href="modules-node.html">节点 »</a>
</span>
</div>
<div class="section xpack">
<div class="titlepage"><div><div>
<h2 class="title">
<a id="monitoring-settings"></a>监控设置 (Monitoring settings in Elasticsearch)
</h2>
</div></div></div>

<p>
默认情况下，监控是开启的，但数据收集是禁用的。
要开启数据收集，使用 <code class="literal">xpack.monitoring.collection.enabled</code> 设置。
</p>
<p>
你可以在文件 <code class="literal">elasticsearch.yml</code> 中配置这些监控设置。
你还可以使用<a class="xref" href="cluster-update-settings.html" title="Cluster update settings API">集群更新设置 API</a>动态的更新一部分设置。
</p>
<div class="tip admon">
<div class="icon"></div>
<div class="admon_content">
<p>集群设置优先于<code class="literal">elasticsearch.yml</code>文件中的设置。</p>
</div>
</div>
<p>
要调整监控数据在监控UI中的显示方式，请在<code class="literal">kibana.yml</code>中配置<a href="https://www.elastic.co/guide/en/kibana/7.7/monitoring-settings-kb.html" class="ulink" target="_top"><code class="literal">xpack.monitoring</code> 设置</a>。
若要控制如何从 Logstash 收集监控数据，请在<code class="literal">logstash.yml</code>中配置监控设置。
</p>
<p>更多信息请参考 <a class="xref" href="monitor-elasticsearch-cluster.html" title="Monitor a cluster">监控一个集群</a>。</p>
<h4>
<a id="general-monitoring-settings"></a>常规监控设置
</h4>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">xpack.monitoring.enabled</code>
</span>
</dt>
<dd>
<p>设置为 <code class="literal">true</code>(默认) 以在节点上启用 Elasticsearch X-Pack 对 Elasticsearch 的监控。</p>
<div class="note admon">
<div class="icon"></div>
<div class="admon_content">
<p>要启用数据收集，必须设置 <code class="literal">xpack.monitoring.collection.enabled</code> 为 <code class="literal">true</code>。默认为 <code class="literal">false</code>。</p>
</div>
</div>
</dd>
</dl>
</div>
<h4>
<a id="monitoring-collection-settings"></a>监控收集设置 (Monitoring Collection Settings)
</h4>
<p><code class="literal">xpack.monitoring.collection</code> 设置控制如何从 Elasticsearch 节点收集数据。可以使用 <a class="xref" href="cluster-update-settings.html" title="Cluster update settings API">集群更新设置 API</a> 动态地更新所有监控收集的设置。</p>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">xpack.monitoring.collection.enabled</code> (<a class="xref" href="cluster-update-settings.html" title="Cluster update settings API">动态</a>)
</span>
</dt>
<dd>
<span class="Admonishment Admonishment--change">
[<span class="Admonishment-version u-mono">6.3.0</span>]
<span class="Admonishment-detail">在 6.3.0 版本中添加的。</span>
</span>
设置为 <code class="literal">true</code> 以开启监控数据的收集。当这个设置为 <code class="literal">false</code> (默认值)时，Elasticsearch 监控数据不会被收集，且所有来自其他源(比如Kibana，Beats和 Logstash)的监控数据都会被忽略。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.collection.interval</code> (<a class="xref" href="cluster-update-settings.html" title="Cluster update settings API">动态</a>)
</span>
</dt>
<dd>
<p>
从 7.0.0 开始，不再支持设置为<code class="literal">-1</code>以禁用数据收集。<span class="Admonishment Admonishment--change">[<span class="Admonishment-version u-mono u-strikethrough">6.3.0</span>]<span class="Admonishment-detail">在 6.3.0 版本中废弃。请使用 设置<code class="literal">xpack.monitoring.collection.enabled</code> 为 <code class="literal">false</code> 代替之。
</span>
</span>
</p>
<p>
控制收集数据样本的频率。默认为 <code class="literal">10s</code>。如果你修改了收集的间隔时间，请在<code class="literal">kibana.yml</code>中将<code class="literal">xpack.monitoring.min_interval_seconds</code>选项设置为相同的值。</p>
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.elasticsearch.collection.enabled</code> (<a class="xref" href="cluster-update-settings.html" title="Cluster update settings API">动态</a>)
</span>
</dt>
<dd>
控制是否应收集有关 Elasticsearch 集群的统计数据。默认为 <code class="literal">true</code>。与 <code class="literal">xpack.monitoring.collection.enabled</code> 不同的是，它允许你启用或禁用所有监控的数据收集。然而，该设置只是禁用 Elasticsearch 数据的收集，仍然允许其他数据(例如，Kibana、Logstash、Beats 或 APM 服务器监控数据)通过该集群。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.collection.cluster.stats.timeout</code> (<a class="xref" href="cluster-update-settings.html" title="Cluster update settings API">动态</a>)
</span>
</dt>
<dd>
(<a class="xref" href="common-options.html#time-units" title="Time units">time value</a>) 收集集群统计信息的超时时间。默认为 <code class="literal">10s</code>。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.collection.node.stats.timeout</code> (<a class="xref" href="cluster-update-settings.html" title="Cluster update settings API">动态</a>)
</span>
</dt>
<dd>
(<a class="xref" href="common-options.html#time-units" title="Time units">time value</a>) 收集节点统计信息的超时时间。默认为 <code class="literal">10s</code>。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.collection.indices</code> (<a class="xref" href="cluster-update-settings.html" title="Cluster update settings API">动态</a>)
</span>
</dt>
<dd>
控制监控要从哪些索引收集数据。默认为所有索引。
以逗号分隔的列表形式指定索引名称，例如 <code class="literal">test1,test2,test3</code>。
名称可以包含通配符，比如 <code class="literal">test*</code>。可以用<code class="literal">-</code>作为前缀来显式指定要排除的索引。
比如，<code class="literal">test*,-test3</code> 将监控所有以 <code class="literal">test</code> 开头的索引，但是<code class="literal">test3</code>除外。
系统索引，像 .security* 或 .kibana* 总是以<code class="literal">.</code>开头的，通常是应该被监控的。
考虑添加<code class="literal">.*</code>到索引列表中，以确保对系统索引的监控，比如<code class="literal">.*,test*,-test3</code>。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.collection.index.stats.timeout</code> (<a class="xref" href="cluster-update-settings.html" title="Cluster update settings API">动态</a>)
</span>
</dt>
<dd>
(<a class="xref" href="common-options.html#time-units" title="Time units">time value</a>) 收集索引的统计信息的超时时间。默认为 <code class="literal">10s</code>。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.collection.index.recovery.active_only</code> (<a class="xref" href="cluster-update-settings.html" title="Cluster update settings API">动态</a>)
</span>
</dt>
<dd>
控制是否要收集所有的 恢复(reovery)。设置为 <code class="literal">true</code>，只收集活动中的恢复。默认为 <code class="literal">false</code>.
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.collection.index.recovery.timeout</code> (<a class="xref" href="cluster-update-settings.html" title="Cluster update settings API">动态</a>)
</span>
</dt>
<dd>
(<a class="xref" href="common-options.html#time-units" title="Time units">time value</a>) 收集恢复信息的超时时间。默认为 <code class="literal">10s</code>。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.history.duration</code> (<a class="xref" href="cluster-update-settings.html" title="Cluster update settings API">动态</a>)
</span>
</dt>
<dd>
<p>
(<a class="xref" href="common-options.html#time-units" title="Time units">time value</a>) 保留期限，超过该期限，由监控导出程序创建的索引将被自动删除。默认为<code class="literal">7d</code> (7天)。
</p>
<p>这个设置有一个最小值 <code class="literal">1d</code> (1天)，以确保有一些内容受到监控，且不可以禁用。</p>
<div class="important admon">
<div class="icon"></div>
<div class="admon_content">
<p>这个设置只影响<code class="literal">local</code>类型的导出程序。使用<code class="literal">http</code>导出程序建立的索引不会被自动删除。</p>
</div>
</div>
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters</code>
</span>
</dt>
<dd>
配置代理存储监控数据的位置。默认情况下，代理使用本地导出器，该导出器在其安装的集群上索引监控数据。使用 HTTP 导出器将数据发送到单独的监控集群。
更多信息，请参考 <a class="xref" href="monitoring-settings.html#local-exporter-settings" title="Local Exporter Settings">本地导出器设置</a>, <a class="xref" href="monitoring-settings.html#http-exporter-settings" title="HTTP Exporter Settings">HTTP 导出器设置</a> 以及 <a class="xref" href="how-monitoring-works.html" title="How monitoring works"><em>监控是如何工作的</em></a>.
</dd>
</dl>
</div>
<h4>
<a id="local-exporter-settings"></a>本地导出器设置 (Local Exporter Settings)
</h4>
<p><code class="literal">local</code>导出器是监控使用的默认的导出器。顾名思义，它将数据导出到<code class="literal">本地(local)</code>集群，这意味着不需要太多配置。</p>
<p>如果你未提供<em>任何(any)</em>导出器，那么监控会自动为你创建一个。只要提供了任意一个导出器，都不会再添加默认值。</p>
<div class="pre_wrapper lang-yaml">
<pre class="programlisting prettyprint lang-yaml">xpack.monitoring.exporters.my_local:
  type: local</pre>
</div>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">type</code>
</span>
</dt>
<dd>
本地导出器的值必须始终是 <code class="literal">local</code>，且是必需的。
</dd>
<dt>
<span class="term">
<code class="literal">use_ingest</code>
</span>
</dt>
<dd>
是否为集群提供 占位符管道(placeholder pipeline)，并为每个批量请求提供 管道处理器(pipeline processor)。默认为 <code class="literal">true</code>。如果禁用，则意味着它将不会使用管道，这意味着未来的版本无法自动将批量请求升级为 符合未来要求的(future-proof) 请求。 
</dd>
<dt>
<span class="term">
<code class="literal">cluster_alerts.management.enabled</code>
</span>
</dt>
<dd>
是否为此集群创建集群警报。默认值为 <code class="literal">true</code>。要使用此特性，必须启用 Watcher。如果你用的是基础许可证，集群警报不会显示。
</dd>
</dl>
</div>
<h4>
<a id="http-exporter-settings"></a>HTTP导出器设置 (HTTP Exporter Settings)
</h4>
<p>下面列出了<code class="literal">http</code>导出器可以提供的设置。所有设置都在选择了导出器名称之后显示:</p>
<div class="pre_wrapper lang-yaml">
<pre class="programlisting prettyprint lang-yaml">xpack.monitoring.exporters.my_remote:
  type: http
  host: ["host:port", ...]</pre>
</div>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">type</code>
</span>
</dt>
<dd>
HTTP 导出器的值必须始终是<code class="literal">http</code>，且是必需的。
</dd>
<dt>
<span class="term">
<code class="literal">host</code>
</span>
</dt>
<dd>
<p>
<code class="literal">host</code>支持多种格式，既可以是数组，也可以是单个值。
支持的格式包括 <code class="literal">hostname</code>, <code class="literal">hostname:port</code>，<code class="literal">http://hostname</code> <code class="literal">http://hostname:port</code>，<code class="literal">https://hostname</code> 以及 <code class="literal">https://hostname:port</code>。主机不能被假设，必须真实存在。
如果未在<code class="literal">host</code>字符串中指定，则默认的 模式(schema) 始终是 <code class="literal">http</code>，默认的 端口(port) 始终是<code class="literal">9200</code>。
</p>
<div class="pre_wrapper lang-yaml">
<pre class="programlisting prettyprint lang-yaml">xpack.monitoring.exporters:
  example1:
    type: http
    host: "10.1.2.3"
  example2:
    type: http
    host: ["http://10.1.2.4"]
  example3:
    type: http
    host: ["10.1.2.5", "10.1.2.6"]
  example4:
    type: http
    host: ["https://10.1.2.3:9200"]</pre>
</div>
</dd>
<dt>
<span class="term">
<code class="literal">auth.username</code>
</span>
</dt>
<dd>
如果提供了<code class="literal">auth.secure_password</code> Huo  <code class="literal">auth.password</code>，则 username 是必须的。
</dd>
<dt>
<span class="term">
<code class="literal">auth.secure_password</code> (<a class="xref" href="secure-settings.html" title="Secure settings">安全设置</a>, <a class="xref" href="secure-settings.html#reloadable-secure-settings" title="Reloadable secure settings">可重新加载的</a>)
</span>
</dt>
<dd>
<code class="literal">auth.username</code>的密码。
如果还指定了<code class="literal">auth.password</code>，则它优先级更高。
</dd>
<dt>
<span class="term">
<code class="literal">auth.password</code>
</span>
</dt>
<dd>
<code class="literal">auth.username</code>的密码。
如果还指定了<code class="literal">auth.secure_password</code>，则它会被忽略。
</dd>
</dl>
</div>
<div class="warning admon">
<div class="icon"></div>
<div class="admon_content">
<h3>在 7.7.0 中废弃！</h3>
<p>请使用 <code class="literal">auth.secure_password</code> 替代之。</p>
</div>
</div>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">connection.timeout</code>
</span>
</dt>
<dd>
(<a class="xref" href="common-options.html#time-units" title="Time units">time value</a>) HTTP 连接等待套接字为请求打开的时间。默认值为 <code class="literal">6s</code>。
</dd>
<dt>
<span class="term">
<code class="literal">connection.read_timeout</code>
</span>
</dt>
<dd>
(<a class="xref" href="common-options.html#time-units" title="Time units">time value</a>) HTTP 连接等待套接字发回响应的时间。默认为 <code class="literal">10 * connection.timeout</code> (当 time_out 和 real_timeout 两个都未设置时为<code class="literal">60s</code>)。
</dd>
<dt>
<span class="term">
<code class="literal">ssl</code>
</span>
</dt>
<dd>
每个 HTTP 导出器可以定义自己的 TLS / SSL 设置或继承它们。 参考下面的 <a class="xref" href="monitoring-settings.html#ssl-monitoring-settings" title="X-Pack monitoring TLS/SSL settings">TLS / SSL</a> 部分。
</dd>
<dt>
<span class="term">
<code class="literal">proxy.base_path</code>
</span>
</dt>
<dd>
作为任何传出请求前缀的基本路径，诸如<code class="literal">/base/path</code>(例如，批量请求将作为<code class="literal">/base/path/_bulk</code>发送)。没有默认值。
</dd>
<dt>
<span class="term">
<code class="literal">headers</code>
</span>
</dt>
<dd>
<p>
添加到每个请求中的可选的 header，有助于通过代理路由请求。
</p>
<div class="pre_wrapper lang-yaml">
<pre class="programlisting prettyprint lang-yaml">xpack.monitoring.exporters.my_remote:
  headers:
    X-My-Array: [abc, def, xyz]
    X-My-Header: abc123</pre>
</div>
<p>
基于数组的 header 被发送<code class="literal">n</code>次，其中<code class="literal">n</code>是数组的大小。
不能设置<code class="literal">Content-Type</code> 和 <code class="literal">Content-Length</code>。
监控代理创建的任何 header 都将覆盖此处定义的任何内容。
</p>
</dd>
<dt>
<span class="term">
<code class="literal">index.name.time_format</code>
</span>
</dt>
<dd>
一种机制，用于更改默认情况下每日监控索引的默认日期后缀。  
默认为 <code class="literal">yyyy.MM.dd</code>，这就是每天创建索引的原因。
</dd>
<dt>
<span class="term">
<code class="literal">use_ingest</code>
</span>
</dt>
<dd>
是否为集群提供 占位符管道(placeholder pipeline)，并为每个批量请求提供 管道处理器(pipeline processor)。默认为 <code class="literal">true</code>。如果禁用，则意味着它将不会使用管道，这意味着未来的版本无法自动将批量请求升级为 符合未来要求的(future-proof) 请求。
</dd>
<dt>
<span class="term">
<code class="literal">cluster_alerts.management.enabled</code>
</span>
</dt>
<dd>
是否为此集群创建集群警报。默认为 <code class="literal">true</code>。
要使用此特性，必须启用 Watcher。如果你用的是基础许可证，集群警报不会显示。
</dd>
<dt>
<span class="term">
<code class="literal">cluster_alerts.management.blacklist</code>
</span>
</dt>
<dd>
<p>防止创建特定的集群警报。它还会删除当前集群中已经存在的任何可用的观察器。</p>
<p>可以将以下任何观察标识符添加到阻止的警报列表中:</p>
<div class="ulist itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<code class="literal">elasticsearch_cluster_status</code>
</li>
<li class="listitem">
<code class="literal">elasticsearch_version_mismatch</code>
</li>
<li class="listitem">
<code class="literal">elasticsearch_nodes</code>
</li>
<li class="listitem">
<code class="literal">kibana_version_mismatch</code>
</li>
<li class="listitem">
<code class="literal">logstash_version_mismatch</code>
</li>
<li class="listitem">
<code class="literal">xpack_license_expiration</code>
</li>
</ul>
</div>
<p>比如：<code class="literal">["elasticsearch_version_mismatch","xpack_license_expiration"]</code></p>
</dd>
</dl>
</div>
<div class="section">
<div class="titlepage"><div><div>
<h3 class="title">
<a id="ssl-monitoring-settings"></a>X-Pack 监控 TLS/SSL 的设置
</h3>
</div></div></div>
<p>可以配置以下 TLS/SSL 设置。</p>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.supported_protocols</code>
</span>
</dt>
<dd>
<p>
支持的协议版本。可用的协议有: <code class="literal">SSLv2Hello</code>，<code class="literal">SSLv3</code>，<code class="literal">TLSv1</code>，<code class="literal">TLSv1.1</code>，<code class="literal">TLSv1.2</code>，<code class="literal">TLSv1.3</code>。
如果 JVM 的提供者支持 TLSv1.3，则默认为 <code class="literal">TLSv1.3,TLSv1.2,TLSv1.1</code>。
否则，默认为 <code class="literal">TLSv1.2,TLSv1.1</code>。
</p>
<div class="note admon">
<div class="icon"></div>
<div class="admon_content">
<p>如果 <code class="literal">xpack.security.fips_mode.enabled</code> 为 <code class="literal">true</code>，则你不能使用 <code class="literal">SSLv2Hello</code> 或 <code class="literal">SSLv3</code>。 参考 <a class="xref" href="fips-140-compliance.html" title="FIPS 140-2">FIPS 140-2</a>。</p>
</div>
</div>
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.verification_mode</code>
</span>
</dt>
<dd>
<p>
控制证书的验证。有效值包括：
</p>
<div class="ulist itemizedlist">
<ul class="itemizedlist">
<li class="listitem">
<code class="literal">full</code>，验证所提供的证书是否由可信机构(CA)签名，还验证服务器的主机名(或IP地址)是否与证书中标识的名称匹配。
</li>
<li class="listitem">
<code class="literal">certificate</code>，用于验证所提供的证书是否由可信机构(CA)签名，但不执行任何主机名验证。
</li>
<li class="listitem">
<p>
<code class="literal">none</code>，<em>不验证</em>服务器的证书。
这种模式禁用了 SSL/TLS 的许多安全优势，并且应该在非常谨慎的考虑之后才使用。
它主要用作尝试解决 TLS 错误时的临时诊断机制；强烈建议不要在生产集群上使用它。
</p>
<p>默认为 <code class="literal">full</code></p>
</li>
</ul>
</div>
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.cipher_suites</code>
</span>
</dt>
<dd>
<p>
支持的密码套件因使用的 Java 版本而异。例如，对于版本11，默认值为 <code class="literal">TLS_AES_256_GCM_SHA384</code>,
<code class="literal">TLS_AES_128_GCM_SHA256</code>, <code class="literal">TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384</code>,
<code class="literal">TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256</code>, <code class="literal">TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384</code>,
<code class="literal">TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256</code>, <code class="literal">TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384</code>,
<code class="literal">TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256</code>, <code class="literal">TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384</code>,
<code class="literal">TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</code>, <code class="literal">TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA</code>,
<code class="literal">TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA</code>, <code class="literal">TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA</code>,
<code class="literal">TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</code>, <code class="literal">TLS_RSA_WITH_AES_256_GCM_SHA384</code>,
<code class="literal">TLS_RSA_WITH_AES_128_GCM_SHA256</code>, <code class="literal">TLS_RSA_WITH_AES_256_CBC_SHA256</code>,
<code class="literal">TLS_RSA_WITH_AES_128_CBC_SHA256</code>, <code class="literal">TLS_RSA_WITH_AES_256_CBC_SHA</code>,
<code class="literal">TLS_RSA_WITH_AES_128_CBC_SHA</code>.
</p>
<div class="note admon">
<div class="icon"></div>
<div class="admon_content">
<p>
上面列出的默认密码套件包括 TLSv1.3 密码和需要 <em title="Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files">Java 加密扩展(JCE)无限强度权限策略文件</em>进行256位 AES 加密的密码。
如果 TLSv1.3 不可用，则 TLSv1.3 密码 <code class="literal">TLS_AES_256_GCM_SHA384</code> 和 <code class="literal">TLS_AES_128_GCM_SHA256</code> 不会包括在默认列表中。
如果 256-bit AES 不可用，则名字中有<code class="literal">AES_256</code>的密码不会包含在默认列表中。
最后，AES GCM 在 Java 11 之前的版本中存在已知的性能问题，只有在使用 Java 11 或更高版本时才会包含在默认列表中。
</p>
</div>
</div>
<p>有关更多信息，请参见Oracle的 <a href="https://docs.oracle.com/en/java/javase/11/security/oracle-providers.html#GUID-7093246A-31A3-4304-AC5F-5FB6400405E2" class="ulink" target="_top">Java加密体系结构文档</a> 。</p>
</dd>
</dl>
</div>
<div class="section">
<div class="titlepage"><div><div>
<h4 class="title">
<a id="monitoring-tls-ssl-key-trusted-certificate-settings"></a>
X-Pack监控TLS/SSL密钥和可信证书设置 (X-Pack monitoring TLS/SSL key and trusted certificate settings)
</h4>
</div></div></div>
<p>
下列设置用于指定通过SSL/TLS连接通信时应使用的私钥、证书和可信证书。
私钥和证书是可选的，如果服务器需要客户端身份验证来进行PKI身份验证，就会使用它们。
</p>
</div>

<div class="section">
<div class="titlepage"><div><div>
<h4 class="title">
<a id="_pem_encoded_files"></a>PEM编码文件 (PEM encoded files)
</h4>
</div></div></div>
<p>使用PEM编码文件时，请使用以下设置：</p>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.key</code>
</span>
</dt>
<dd>
包含私钥的PEM编码文件的路径。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.key_passphrase</code>
</span>
</dt>
<dd>
用于解密私钥的密码。因为密钥可能没有加密，所以这个值是可选的。  
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.secure_key_passphrase</code> (<a class="xref" href="secure-settings.html" title="Secure settings">安全设置</a>)
</span>
</dt>
<dd>
用于解密私钥的密码。 因为密钥可能没有加密，所以这个值是可选的。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.certificate</code>
</span>
</dt>
<dd>
指定与密钥关联的 PEM 编码证书(或证书链)的路径。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.certificate_authorities</code>
</span>
</dt>
<dd>
应该受信任的 PEM 编码证书文件的路径列表。
</dd>
</dl>
</div>
</div>

<div class="section">
<div class="titlepage"><div><div>
<h4 class="title">
<a id="_java_keystore_files"></a>Java密钥库文件 (Java keystore files)
</h4>
</div></div></div>
<p>Java 密钥库文件(JKS)包含私钥、证书和应该信任的证书，使用时请使用以下设置:</p>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.keystore.path</code>
</span>
</dt>
<dd>
包含私钥和证书的密钥库文件的路径。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.keystore.password</code>
</span>
</dt>
<dd>
密钥库的密码。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.keystore.secure_password</code> (<a class="xref" href="secure-settings.html" title="Secure settings">安全设置</a>)
</span>
</dt>
<dd>
密钥库的密码。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.keystore.key_password</code>
</span>
</dt>
<dd>
密钥库中密钥的密码。默认值是 密钥库密码(keystore password)。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.keystore.secure_key_password</code> (<a class="xref" href="secure-settings.html" title="Secure settings">安全设置</a>)
</span>
</dt>
<dd>
密钥库中密钥的密码。默认值是 密钥库密码(keystore password)。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.truststore.path</code>
</span>
</dt>
<dd>
包含要信任的证书的密钥库的路径。它必须是 Java密钥库(jks, Java keystore)或 PKCS#12 文件。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.truststore.password</code>
</span>
</dt>
<dd>
信任库(truststore) 的密码。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.truststore.secure_password</code> (<a class="xref" href="secure-settings.html" title="Secure settings">安全设置</a>)
</span>
</dt>
<dd>
信任库(truststore) 的密码。
</dd>
</dl>
</div>
</div>

<div class="section">
<div class="titlepage"><div><div>
<h4 class="title">
<a id="monitoring-pkcs12-files"></a>PKCS#12 文件
</h4>
</div></div></div>
<p>Elasticsearch 可以配置为使用 PKCS#12 容器文件(<code class="literal">.p12</code> 或 <code class="literal">.pfx</code>)，它包含私钥、证书和应该被信任的证书。</p>
<p>PKCS#12 文件的配置方式与 Java 密钥库文件相同：</p>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.keystore.path</code>
</span>
</dt>
<dd>
包含私钥和证书的密钥库文件的路径。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.keystore.type</code>
</span>
</dt>
<dd>
密钥库文件的格式。
它必须是<code class="literal">jks</code> 或 <code class="literal">PKCS12</code>。
如果密钥库路径以 ".p12", ".pfx", or ".pkcs12" 结尾，则默认为<code class="literal">PKCS12</code>。否则默认<code class="literal">jks</code>。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.keystore.password</code>
</span>
</dt>
<dd>
密钥库的密码。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.keystore.secure_password</code> (<a class="xref" href="secure-settings.html" title="Secure settings">安全设置</a>)
</span>
</dt>
<dd>
密钥库的密码。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.keystore.key_password</code>
</span>
</dt>
<dd>
密钥库中密钥的密码。默认值是 密钥库密码(keystore password)。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.keystore.secure_key_password</code> (<a class="xref" href="secure-settings.html" title="Secure settings">安全设置</a>)
</span>
</dt>
<dd>
密钥库中密钥的密码。默认值是 密钥库密码(keystore password)。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.truststore.path</code>
</span>
</dt>
<dd>
包含要信任的证书的密钥库的路径。它必须是 Java密钥库(jks, Java keystore)或 PKCS#12 文件。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.truststore.type</code>
</span>
</dt>
<dd>
将此项设置为 <code class="literal">PKCS12</code> 以表明信任库(truststore)是一个 PKCS#12 文件。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.truststore.password</code>
</span>
</dt>
<dd>
信任库(truststore) 的密码。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.ssl.truststore.secure_password</code> (<a class="xref" href="secure-settings.html" title="Secure settings">安全设置</a>)
</span>
</dt>
<dd>
信任库(truststore) 的密码。
</dd>
</dl>
</div>
</div>

<div class="section">
<div class="titlepage"><div><div>
<h4 class="title">
<a id="monitoring-pkcs11-tokens"></a>PKCS#11 令牌
</h4>
</div></div></div>
<p>Elasticsearch 可以被配置为使用PKCS#11令牌，该令牌包含私钥、证书和应该被信任的证书。</p>
<p>PKCS#11 令牌需要在 JVM 级别进行额外配置，可以通过以下设置启用：</p>
<div class="variablelist">
<dl class="variablelist">
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.keystore.type</code>
</span>
</dt>
<dd>
将此项设置为<code class="literal">PKCS11</code>，以指示应将 PKCS#11 令牌用作密钥库。
</dd>
<dt>
<span class="term">
<code class="literal">xpack.monitoring.exporters.$NAME.truststore.type</code>
</span>
</dt>
<dd>
信任库(truststore) 文件的格式。
对于 Java 密钥库格式，使用<code class="literal">jks</code>。
对于 PKCS#12 文件，使用 <code class="literal">PKCS12</code>。对于 PKCS#11 令牌，使用 <code class="literal">PKCS11</code>。默认为 <code class="literal">jks</code>。
</dd>
</dl>
</div>
<div class="note admon">
<div class="icon"></div>
<div class="admon_content">
<p>
在配置 PKCS#11 令牌(JVM 被配置为用作 Elasticsearch 的密钥库或信任库)时，可以通过在所配置的上下文中将适当的值设置为<code class="literal">ssl.truststore.password</code>或<code class="literal">ssl.truststore.secure_password</code>来配置令牌的PIN。
由于只能配置一个 PKCS#11 令牌，因此在 Elasticsearch 中只能配置一个密钥库和信任库。
这反过来意味着只有一个证书可用于传输层和 http 层的 TLS。
</p>
</div>
</div>
</div>

</div>

</div>
<div class="navfooter">
<span class="prev">
<a href="ml-settings.html">« 机器学习设置</a>
</span>
<span class="next">
<a href="modules-node.html">节点 »</a>
</span>
</div>
</div>

                  <!-- end body -->
                        </div>
                        <div class="col-xs-12 col-sm-4 col-md-4" id="right_col">
                        
                        </div>
                    </div>
                </div>
            </section>
        </div>
    </section>
</div>
<script src="../static/cn.js"></script>
</body>
</html>